La aplicación maliciosa logró evadir los controles de revisión de Apple y se distribuyó oficialmente durante una semana. Los atacantes vaciaron wallets completas tras obtener las frases de recuperación de los usuarios.
Una aplicación maliciosa que suplantaba a Ledger Live logró colarse en la App Store de Apple y drenó aproximadamente 9.5 millones de dólares en criptomonedas de más de 50 víctimas entre el 7 y el 13 de abril. La app fraudulenta, publicada bajo el nombre de una entidad falsa llamada "Leva Heal Limited", engañó a usuarios de Mac haciéndoles creer que descargaban el cliente oficial de la popular wallet de hardware, cuando en realidad entregaban sus frases de recuperación directamente a los atacantes.
El investigador blockchain ZachXBT rastreó los fondos robados y documentó que los activos fueron sustraídos a través de múltiples cadenas, incluyendo Bitcoin, Ethereum, Solana, Tron y Ripple. Las tres pérdidas individuales más grandes alcanzaron los 3.23 millones de dólares en USDT el 9 de abril, 2.08 millones en USDC el 11 de abril, y 1.95 millones en BTC, ETH y stETH el 8 de abril. Un usuario en Reddit alertó sobre la app falsa tras descubrir que Ledger no distribuye su aplicación de escritorio a través de la App Store, sino únicamente desde su sitio web oficial.
La campaña de phishing cobró notoriedad cuando el músico G. Love publicó en X que había perdido 5.9 BTC, sus ahorros de una década tras descargar la app maliciosa mientras configuraba un nuevo equipo. "Perdí mi fondo de retiro en un hack... Todo mi BTC desapareció en un instante", escribió el artista, cuyo caso fue posteriormente verificado por ZachXBT. Los fondos fueron rastreados hasta direcciones de depósito en KuCoin, vinculadas a un servicio de mezcla centralizado conocido como "AudiA6" que cobra comisiones elevadas para ofuscar flujos ilícitos.
Según el reporte en Chainabuse, los atacantes utilizaron más de 150 direcciones de depósito en KuCoin para dispersar los fondos robados, una táctica de lavado que complica significativamente el rastreo y recuperación de los activos.
KuCoin anunció el congelamiento de las cuentas involucradas hasta el 20 de abril, fecha a partir de la cual el bloqueo podrá extenderse únicamente mediante solicitud oficial de autoridades policiales. La medida llega en un momento particularmente sensible para el exchange, que en febrero de 2026 fue prohibido de incorporar nuevos usuarios en la Unión Europea por reguladores austriacos, apenas meses después de obtener su licencia MiCA.
El modus operandi de la campaña revela un vector de ataque particularmente efectivo: la explotación de la brecha entre las expectativas de los usuarios y los canales de distribución oficiales. Ledger ofrece una aplicación iOS en la App Store, pero su cliente de escritorio para Mac solo está disponible mediante descarga directa desde ledger.com. Los atacantes aprovecharon esta confusión para publicar una versión falsa que escaló rápidamente de la versión 1.0 a la 5.0 en solo dos semanas, simulando un historial de desarrollo activo que pudo haber contribuido a evadir las revisiones de seguridad de Apple.
La plataforma ya ha eliminado la aplicación maliciosa, pero las preguntas sobre cómo logró pasar el proceso de verificación permanecen sin respuesta, y ZachXBT ha sugerido que el incidente podría sentar las bases para una demanda colectiva contra la compañía tecnológica.
FUENTE ORIGINAL
CoinDesk↗CURADO POR
Santiago Torres